Kişisel verilerin işlenmesinde uygulamada sıklıkla karıştırılan ve yanlış uygulanan önemli bir hususa değinelim: Bir sözleşmede yer alan veya sözleşme gereğince işlenen kişisel veriler, sözleşmede belirtildiği için her hâlükârda KVKK m. 5/2-c’de yer alan veri işleme şartı gereğince mi işlenecektir? Yoksa bu halde dahi açık rıza alınmasının gerekli olduğu haller mevcut mudur? Bu konuda aşağıda açıklayacağım şekilde ayrımların yapılması gerektiğini ve bunların etkili çözüm önerileri olabileceğini düşünüyorum. Eğer bir veri işleme faaliyetinde söz konusu olan kişisel veriler, sırf “sözleşmede yer alma dolayısıyla”, her durumda bu veri işleme şartına dayandırılırsa bu hukuka aykırı sonuçların ortaya çıkmasına yol açacaktır.
Veri sorumlusu, ilgili kişiyle arasındaki mevcut ve geçerli bir sözleşmenin ifası ya da yeni bir sözleşmenin kurulmasına yönelik zorunlu işlemler çerçevesinde kişisel veri işleyebilir. Sözleşme, tarafların karşılıklı iradelerini beyan ettiği hukuki sonuç doğuran bir hukuki işlemdir[1]. Bu hukuki işlemin kurulabilmesi ve gerektiği gibi sonuç doğurması için çoğu zaman kişisel verilerin işlenmesi gerekli, hatta zorunludur. Veri koruma mevzuatları borç ilişkilerinin ve ticari hayatın gereksinimlerini göz önüne alarak kişisel verilerin, diğer koşulların sağlanması kaydıyla, bir sözleşme çerçevesinde işlenmesini hukuka uygun işleme şartlarından biri olarak düzenlemişlerdir. KVKK m. 5/2-c’de düzenlenen bu veri işleme hali, mehaz düzenleme olan Direktif’te ve GDPR’da da yer almaktadır (GDPR m. 6/1-b).
Gerekli olan işleme faaliyetinin, taraflara ait olması ve sözleşmenin kurulması veya ifasıyla doğrudan bağlantılı olması koşullarının sağlanması halinde bu kişisel veri işleme şartının varlığından bahsedilir.
Örnek: Online alışveriş sitesinden ürün sipariş eden bir tüketiciye ait iletişim ve adres bilgilerinin, kurulan mesafeli satış sözleşmesinin ifası için işlenmesi bu şekildedir.
Örnek: “Bir bankayla kredi sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi bu kapsamda değerlendirilecektir”[2]
Örnek: Bir emlakçının, her ikisiyle de arasında bulunan simsarlık sözleşmesi gereği, ev sahibi ve kiracı arasında imzalanan sözleşme kapsamında tarafların kimlik numarası, banka hesap numarası, adres, imza ve telefon gibi kişisel verilerini işlemesi, dosyasında muhafaza etmesi[3].
Sözleşme gereğince veri işlemenin söz konusu olması için yazılı bir sözleşme bulunması da mecburi değildir. Sözlü, hatta zımni olarak kurulmuş bir sözleşmenin ifası kapsamında da kişisel veriler hukuka uygun bir şekilde işlenebilir. Bununla birlikte sözleşmenin varlığını ispat konusu ayrıca değerlendirilmelidir. Hesap verebilme ilkesiyle birlikte değerlendirildiğinde ilgili kişiyle mevcut ve geçerli bir sözleşme ilişkisi olduğunu ispatlayamayan veri sorumlusu, bu veri işleme şartı kapsamında veri işlerken çok dikkatli olmalıdır[4]. Bu noktada veri sorumlularına tavsiyem, büyük ölçekte veri işlenmesini gerektiren sözleşmelere yönelik olarak mutlaka bu sözleşmeleri yazılı yapma yöntemini kullanmalarıdır. Her halükârda da verinin, bu veri işleme şartı kapsamında işlendiğini ispatlayabilecek kayıtların (örneğin fiş, fatura, log kayıtları vb.) hassasiyetle tutulması gerekir.
Örnek: Bir restoranın telefon kanalıyla aldığı siparişlerde aslında müşteriyle bir sözleşme kurulmaktadır. Bu kapsamda müşterinin sipariş bilgilerinin yanı sıra, iletişim ve adres bilgileri gibi kişisel verilerinin işlenmesi faaliyetleri sözleşmenin ifası kapsamındadır. Yazılı bir sözleşme bulunmaması nedeniyle restoran işletmesinin bu sözleşme ilişkisini ispat edecek fiş, fatura vb. kayıtları iyi muhafaza etmesi ve şikâyet ya da uyuşmazlık durumunda bunları ibraz edebilecek şekilde organize olması gerekir.
Bu veri işleme şartının mevcut olması için sözleşmenin “veri sorumlusu” ve “ilgili kişi” arasında olması gerekir. Sözleşmenin tarafı olmayan, ancak yine sözleşme hükümleri uyarınca işlenen üçüncü kişilere ilişkin veriler bakımından ise diğer bir veri işleme şartı olarak hukuki yükümlülüğün yerine getirilmesi için zorunlu olma hali söz konusudur. Aşağıda ele alacağım üzere bu ayrı bir işleme şartıdır.
Öyleyse aynı sözleşme uyarınca farklı verilerin ya da veri işleme faaliyetlerinin farklı işleme şartlarına göre işlenmesi söz konusu olabilir. İlk bakışta veri işleme şartları arasında bu şekilde bir ayrım yapılması gereksiz ve hatta anlamsız görünebilir. Ancak farklı temellere dayanan bu iki veri işleme şartının anlam ve sonuçlarının da farklılaşabileceği atlanmamalıdır. Bu anlamda örnek verilebilecek en pratik farklılık olarak şu soruyu soruyorum: Aydınlatma yükümlülüğünü doğru bir şekilde yerine getirdiğinden bahsedebilmemiz için bir veri sorumlusu esas olarak neyi doğru yapmalıdır? Şüphesiz bunun için veri sorumlusu işleme faaliyetine konu ettiği kişisel verilerin özel olarak hangi somut amaca, genel olarak ise hangi kişisel veri işleme şartına dayandığını doğru bir biçimde belirlemiş olmalıdır. Aksi halde ilgili kişi doğru bir şekilde bilgilendirilemeyecek ve veri sorumlusu bundan sorumlu olacaktır.
Örnek: Bir kargo firması tarafından kendisiyle sözleşme ilişkisi içinde olan müşterisine ilişkin kimlik, iletişim, ödeme vb. veriler, sözleşmenin yerine getirilmesi çerçevesinde işlenirken; sözleşmenin tarafı olmayan alıcının kimlik ve iletişim bilgileri kargo firmasının göndericiyle arasındaki sözleşme uyarınca üstlendiği hukuki yükümlülük çerçevesinde işlenmektedir.
Bir sözleşmenin kurulması ya da ifasıyla ilişkili her türlü veri bu veri işleme şartı kapsamında işlenemez. Verinin işlenmesi sözleşmenin kurulması ya da ifasıyla doğrudan doğruya ilişkili olmalıdır. Sözleşmenin kurulmasıyla doğrudan doğruya ilişkili olma bir sözleşme kurmaya yönelik teklif, icap ya da kabul işlemeleriyle bağlantılı olmayı ifade eder. Örneğin, bu nitelikte olmayan pazarlama veya bilgilendirme amaçlı faaliyetler bu veri işleme şartı kapsamında yer almaz[5]. Sözleşmenin kurulmasına yönelik işleme faaliyetleri, sonrasında sözleşme kurulmamış olsa dahi bu işleme şartı kapsamında işlenebilir.
Sözleşmenin ifasıyla “doğrudan doğruya” ilgili olmadan ne anlaşılmalıdır? Her şeyden önce meydana getirebileceği sakıncalar bakımından dar yorumlanmayı gerektiren bir kavramdır. Bu kavram, özellikle amaçla bağlantılı ve sınırlı olma ilkesiyle bir arada ele alınmalıdır[6]. Bir veri işleme faaliyetinin söz konusu işleme şartı kapsamında işlenip işlenmeyeceği noktasında tereddüde düşülen hallerde bakılır: Bu işleme şartı kapsamında işlemeyi düşündüğümüz kişisel veri/veriler öngördüğümüz amaçla bağlantılı, sınırlı ve ölçülü müdür?
Bir sözleşmeye ilişkin esaslı unsurların yanı sıra tali unsurlar da bu işleme haline sebebiyet verebilecek olmakla birlikte, bir işleme faaliyetinin bir şekilde sözleşmeyle ilişkilendirilmesi, hatta sözleşmede buna ilişkin açık bir hüküm bulunması tek başına yeterli değildir. Önemli olan sözleşmenin konusunu oluşturan esas ve yan edimlerin yerine getirilmesi için verinin işlenmesinin gerekli olup olmadığıdır.
Dolayısıyla bu işleme şartının uygulanması için, “kişisel veriler sözleşmede yer alanlarla mı sınırlı olmalıdır”, “sözleşmede yer almamış olan bir kişisel veri bu işleme şartı kapsamında işlenemez mi”, “bu şarta dayanabilmek için sözleşmede buna ilişkin açık bir hükmün mü yer alması gerekir” gibi tartışmaların aslında hiçbir manası yoktur. Kaldı ki kanun koyucu yalnızca sözleşmede yer alan kişisel verilerin bu şart kapsamında işlenebileceği amacını gütseydi sözleşmeyle “doğrudan doğruya ilgili olmak kaydıyla” demek yerine “sözleşmede yer almak kaydıyla” ifadesini kullanırdı. Burada kanun koyucu aslında veri sorumlusuna sözleşmede yer almanın ötesinde çok ufak bir aralık bırakmış, o aralığın geniş bir şekilde yorumlanmasının önüne de temel ilkelerle zaten geçmiştir. Dolayısıyla veri sorumlularının da sözleşme ile uzaktan veya yakından ilgili olan her kişisel verinin bu kapsamda işlenebileceği gibi bir algıya da kapılmaması gerekir. Esas olan her iki taraf arasında da bir dengenin kurulması ve o dengenin de kanun koyucunun veri sorumlusuna bıraktığı o ufak aralıkta hareket ederek sağlanması gerekir.
Bu noktada sözleşmede kişisel verilerin işlenmesine yönelik bir hükmün bulunduğu hallerin de özellikle ele alınması gerekir. Zira uygulamada açık rıza alınarak işlenmesi gereken verilerle sözleşmenin ifası gereği işlenecek veriler karıştırılabilmekte, açık rıza alınması gereken bir durumda bunun yerine sözleşmede kişisel verilen işlenmesine ilişkin açık hüküm bulunması halinde sözleşmenin ifası gereği veri işlendiği sanılmaktadır. Oysa verinin bir sözleşmenin ifası kapsamında işlenmesi halinde özellikle buna ilişkin bir hüküm konulmasına gerek yoktur, çünkü böyle bir kriter yoktur. Dolayısıyla sözleşmede yer alan açık bir hüküm, verilerin söz konusu işleme şartı kapsamında açık rıza almaksızın işlenebileceğini hukuka uygun hale getirmediği gibi, sözleşmede açık bir hükmün yer almaması da her durumda açık rıza alınması gerektiği anlamına gelmez.
Eğer bir sözleşme metninde kişisel verilerin işlenmesine yönelik bir hüküm varsa, daha doğrusu verinin işleneceği sözleşmenin diğer hükümlerinden anlaşılamayıp, bunun için özel bir hüküm koyma ihtiyacı doğuyorsa burada aslında açık rıza şartına dayanılarak işlenmesi gereken bir veri olduğu anlaşılır. Böyle bir durumda sözleşmeye konulan hüküm açık rıza alınması anlamına da gelmeyecek (daha doğrusu sözleşmeyle bağlı olarak alınmış bir rıza olduğu için bu açık rıza geçerli olmayacak) ve verinin işlenmesini hukuka aykırı olacaktır. Veri koruma hukukunun veri ilgilisinin de beyan ve rızasından öte bir insan hakkı felsefesine dayandığı ve tarafların iradeleri her ne olursa olsun kişisel verilerin işlenmesinde belirlenen temel ilkelere uygunluğun sağlanması gerektiği unutulmamalıdır.
Sonuç olarak önemli olan kişisel verinin işlenmesinin asıl sözleşme hükümlerinin ifasıyla doğrudan doğruya ilişkili olup olmadığının belirlenmesidir. Burada kriter, sözleşmenin ifası için ilgili verinin işlenmesinin objektif olarak gerekli olmasıdır. Bir başka ifadeyle söz konusu veri işleme faaliyeti gerçekleşmeksizin sözleşmesel bir yükümlülüğün yeri getirilmesi mümkün olmamalıdır. Avrupa Veri Koruma Kurumu’na göre bu belirlemeye ilişkin değerlendirme yapılırken şu sorular sorulmalı ve cevapları göz önüne alınmalıdır[7]:
- İlgili kişiye sağlanacak hizmet ya da malın niteliği nedir? Bu hizmet ya da malın ayırt edici özellikleri nelerdir?
- Sözleşmenin tam olarak amacı nedir? (Esası ve temel konusu)
- Sözleşmenin esaslı ve esasa etkili olacak ölçüde önemli tali unsurları nelerdir?
- Sözleşmenin tarafların karşılıklı olarak konumları ve beklentileri nelerdir?
- Sağlanacak hizmet ya da mal ne şekilde tanıtılmış ya da pazarlanmıştır?
- Hizmet ya da malın yapısı dikkate alındığında, bu hizmet ya da malın sıradan bir alıcısı yapılan sözleşme uyarınca söz konusu veri işlemenin gerçekleşmesi gerektiğini bilir ya da öngörür mü?
Örnek: Bir banka, müşterisiyle yaptığı internet bankacılığı kullanımı sözleşmesi uyarınca müşterisinin kimlik bilgilerini, hesap bilgilerini, cep telefon numarası, e-posta, güvenlik şifresi, online işlem kayıtlarını sunulan hizmet çerçevesinde işlemek durumundadır. İnternet bankacılığı hizmetinin yapısı göz önüne alındığında, sözleşme konusu hizmetin sunulması için bu verilerin işlenmesi objektif olarak gerekli olup, sözleşmede bu verilerin işleneceğine ilişkin özel bir hüküm bulunmasına gerek de yoktur.
Örnek: Müşterisinin internet bankacılığı işlemlerini analiz etmek, buna bağlı olarak müşterisine iş ortaklarının hizmet ya da ürünlerin pazarlamak isteyen banka, müşterisiyle yaptığı sözleşmede buna ilişkin hükümler koyarak sözleşmenin ifası gerekçesiyle veri işleyemez. Bahse konu verinin internet bankacılığı hizmetinin objektif gereği olduğu söylenemez. Bu nedenle sözleşmeye buna ilişkin hüküm konulması veri işleme faaliyetini meşrulaştırmaz. Banka’nın bu durumda yapması gereken söz konusu veri işleme faaliyeti bakımından müşterisinin açık rızasını almaktır.
Bu bağlamda özellikle genel işlem şartları niteliğinde olan sözleşme hükümlerinin bu istisna kapsamında hukuka uygun olarak veri işlenmesine olanak sağlamayacağının da altını önemle çizmek isterim. İlgili kişilerin açık rıza vermemesinden endişe ederek matbu sözleşme hükümleri arasında kişisel veri işlenmesine ilişkin hükümler bulundurmak suretiyle netice elde etmeyi uman veri sorumluları bu durumda hem sözleşme şartına hem de açık rıza şartına dayanamayacak, ağır bir sorumluluk ve yaptırımla muhatap olabileceklerdir.
Sonuç olarak veri sorumluları, sözleşmenin kurulması ve ifası için gerekli olan olma şartını, veri işlemenin gerekçesi bakımından torba bir veri işleme şartı olarak görmemeli, bu kapsamda sayılmayacak haller bakımından ya açık rıza almalı ya da eğer var ise diğer veri işleme şartlarına dayanmalıdır. Veri sorumlusu, yürütmekte olduğu bir süreç içinde kişisel verileri bu şarta dayanarak kaydetmek ve işlemek için “verilerin sözleşmenin kurulması ve ifası için objektif olarak gerekli olup olmadığını” test etmeli ve bu işleme şartını başta “amaçla bağlantılı, sınırlı ve ölçülü” olmak üzere temel ilkelerle bir arada ele almalıdır.
Doç. Dr. Murat Volkan Dülger*
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
----------------------------
* Akademisyen / Avukat.
[1] Adalet Bakanlığı Hukuk Sözlüğüne göre sözleşme şu şekilde tanımlanır: “İki veya daha çok kişinin, aralarında bir hukuki bağ yaratmak, bu bağı değiştirmek veya ortadan kaldırmak amacıyla, karşılıklı ve birbirine uygun iradelerini beyan ederek yaptığı hukuki işlem; akit.”. http://www.sozluk.adalet.gov.tr/Sözleşme.
[2] KVKK m. 5 hükmü gerekçesi.
[3] Örneklerle KVKK Rehberi, s. 13.
[4] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Adopted on 9 April 2019, European Data Protection Board, s. 7.
[5] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Adopted on 9 April 2019, s. 12.
[6] Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC (WP217), s. 16–17
[7] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Adopted on 9 April 2019, s. 9.